Skip to main content
SnapCenter software
La version française est une traduction automatique. La version anglaise prévaut sur la française en cas de divergence.

Configurer un certificat CA avec le service SnapCenter Plug-in Loader (SPL) sur un hôte Linux

PDF

Vous devez gérer le mot de passe du magasin de clés SPL et son certificat, configurer le certificat CA, configurer les certificats racine ou intermédiaires dans le magasin de confiance SPL et configurer la paire de clés signée CA dans le magasin de confiance SPL avec le service SnapCenter Plug-in Loader pour activer le certificat numérique installé.

Important SPL utilise le fichier « keystore.jks », qui se trouve dans « /var/opt/snapcenter/spl/etc », à la fois comme magasin de confiance et comme magasin de clés.

Gérer le mot de passe du magasin de clés SPL et l'alias de la paire de clés signée par l'autorité de certification en cours d'utilisation

Mesures

  1. Vous pouvez récupérer le mot de passe par défaut du magasin de clés SPL à partir du fichier de propriétés SPL.

    Il s'agit de la valeur correspondant à la clé 'SPL_KEYSTORE_PASS'.

  2. Modifier le mot de passe du keystore :

     keytool -storepasswd -keystore keystore.jks
. Modifiez le mot de passe de tous les alias des entrées de clés privées dans le magasin de clés avec le même mot de passe que celui utilisé pour le magasin de clés :
    keytool -keypasswd -alias "<alias_name>" -keystore keystore.jks

    Mettez à jour la même chose pour la clé SPL_KEYSTORE_PASS dans le fichier spl.properties.

  3. Redémarrez le service après avoir modifié le mot de passe.

Remarque Le mot de passe du keystore SPL et de tous les mots de passe d'alias associés à la clé privée doivent être identiques.

Configurer les certificats racine ou intermédiaires dans le magasin de confiance SPL

Vous devez configurer les certificats racine ou intermédiaires sans la clé privée dans le magasin de confiance SPL.

Mesures

  1. Accédez au dossier contenant le keystore SPL : /var/opt/snapcenter/spl/etc.

  2. Localisez le fichier « keystore.jks ».

  3. Répertoriez les certificats ajoutés dans le keystore :

     keytool -list -v -keystore keystore.jks
. Ajouter un certificat racine ou intermédiaire :
     keytool -import -trustcacerts -alias <AliasNameForCerticateToBeImported> -file /<CertificatePath> -keystore keystore.jks
. Redémarrez le service après avoir configuré les certificats racine ou intermédiaires dans le magasin de confiance SPL.
Remarque Vous devez ajouter le certificat CA racine, puis les certificats CA intermédiaires.

Configurer la paire de clés signée par l'autorité de certification pour le magasin de confiance SPL

Vous devez configurer la paire de clés signée par l'autorité de certification sur le magasin de confiance SPL.

Mesures

  1. Accédez au dossier contenant le keystore du SPL /var/opt/snapcenter/spl/etc.

  2. Localisez le fichier « keystore.jks ».

  3. Répertoriez les certificats ajoutés dans le keystore :

     keytool -list -v -keystore keystore.jks
. Ajoutez le certificat CA contenant à la fois une clé privée et une clé publique.
     keytool -importkeystore -srckeystore <CertificatePathToImport> -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype JKS
. Répertoriez les certificats ajoutés dans le keystore.
     keytool -list -v -keystore keystore.jks
. Vérifiez que le magasin de clés contient l’alias correspondant au nouveau certificat CA, qui a été ajouté au magasin de clés.
. Remplacez le mot de passe de la clé privée ajoutée pour le certificat CA par le mot de passe du magasin de clés.

    Le mot de passe par défaut du magasin de clés SPL est la valeur de la clé SPL_KEYSTORE_PASS dans le fichier spl.properties.

     keytool -keypasswd -alias "<aliasNameOfAddedCertInKeystore>" -keystore keystore.jks
. Si le nom d'alias dans le certificat CA est long et contient des espaces ou des caractères spéciaux (« * », « », « ), remplacez le nom d'alias par un nom simple :
     keytool -changealias -alias "<OrignalAliasName>" -destalias "<NewAliasName>" -keystore keystore.jks
. Configurez le nom d’alias à partir du keystore situé dans le fichier spl.properties.

    Mettez à jour cette valeur par rapport à la clé SPL_CERTIFICATE_ALIAS.

  4. Redémarrez le service après avoir configuré la paire de clés signée par l'autorité de certification sur le magasin de confiance SPL.

Configurer la liste de révocation de certificats (CRL) pour SPL

Vous devez configurer la CRL pour SPL

À propos de cette tâche

  • SPL recherchera les fichiers CRL dans un répertoire préconfiguré.

  • Le répertoire par défaut des fichiers CRL pour SPL est /var/opt/snapcenter/spl/etc/crl.

Mesures

  1. Vous pouvez modifier et mettre à jour le répertoire par défaut dans le fichier spl.properties par rapport à la clé SPL_CRL_PATH.

  2. Vous pouvez placer plusieurs fichiers CRL dans ce répertoire.

    Les certificats entrants seront vérifiés par rapport à chaque CRL.